蓝队面试题

一、描述外网打点的流程？

授权，信息收集，漏洞探测，漏洞验证，书写报告

二、举几个 FOFA 在外网打点过程中的使用小技巧？

title，body，inurl，等fofa语法进行进一步的信息收集，快速的收集中间件版本以及是否存在漏洞

三、如何识别 CND ？

多地ping

国外ping

nslookup看是否有多个ip

四、邮件钓鱼的准备工作有哪些？

1.信息收集，对单个目标进行钓鱼，或者使用规则批量生成大量的邮箱地址

2.整理话术（安全告警通知，放假通知，薪资通知），不能口语化过重，要限定时间，产生紧迫感

3.鱼钩：也就是你要进行什么样的投毒方式（木马，宏文件）还是什么

4、做好免杀

5.等待上钩

五、判断出靶标的 CMS ，对外网打点有什么意义？

可以快速的查找出漏洞

六、 Apache Log4j2 的漏洞原理是什么？

简单来说就是个jndi注入，

因为Log4j2默认支持解析ldap/rmi协议（只要打印的日志中包括ldap/rmi协议即可），并会通过名称从ldap服务端其获取对应的Class文件，并使用ClassLoader在本地加载Ldap服务端返回的Class类。这就为攻击者提供了攻击途径，攻击者可以在界面传入一个包含恶意内容（会提供一个恶意的Class文件）的ldap协议内容（如：恶意内容${jndi:ldap://localhost:9999/Test}恶意内容），该内容传递到后端被log4j2打印出来，就会触发恶意的Class的加载执行（可执行任意后台指令），从而达到攻击的目的

七、水坑攻击和鱼叉攻击的区别是什么？

攻击方式不同

鱼叉攻击是指利用社工收集个人信息，敏感数据等诱骗用户下载或者点击来窃取用户的数据等操作

水坑攻击是利用特定网站的漏洞来进行攻击

八、如何判断靶标站点是 windows/linux ？

windows对大小写不敏感，linux对大小写敏感

ttl值不同。windows的ttl值大于100，linux的ttl值小于100

九、无法连接服务器 3389 端口的几种情况？

1、tcp/ip

2.远程桌面协议更换了端口号

3.机器在内网

4.管理员设定了指定ip的连接

5、机器没有开通此服务

十、如何建立隐藏用户？

比正常的用户创建多加了一个$符号

十一、为什么 Mysql 数据库的站点，无法连接？

使用了站库分离

更换了默认的3306端口号

管理员设定了不允许外联或者指定ip连接

十二、文件上传功能的监测点有哪些？

客户端检测（检查文件后缀名）

服务端检测（检查文件后缀名，文件的格式头，mine类型检测）

十三、常见的未授权访问漏洞有哪些？

垂直越权

水平越权

shiro未授权访问

FTP未授权访问

NFS未授权访问

十四、代码执行、文件读取、命令执行的函数有哪 些？

eval

read_file

system() exec cmd

十五、正向 shell 和反向 shell 的区别是什么？

正向shell属于我主动去连接靶标，容易被靶标的防火墙给墙掉

反向shell属于被动连接，靶标主动连接我，如果连不上可能属于靶标机器不出网

十六、正向代理和反向代理的区别？

正向代理是代理客户端，使得服务器不知道客户端的真正身份

反向代理是代理服务端，使得客户端不知道服务端的真正身份，当然反向代理还运用在一些负载均衡上

十七、 Web TOP 10 漏洞有哪些？

1.注入

2.敏感数据泄露

3.无效的访问控制

4.xml外部实体攻击

5.xss跨站脚本攻击

6.日志监控和记录不足导致的风险

7.使用已知漏洞的组件

8、失效的身份验证

9、不安全反序列化漏洞

10.安全配置错误

十八、 SQL 注入的种类有哪些？

显注

盲注

ua注入

cookie注入

dnslong注入

时间盲注

报错注入

十九、常见的中间件有哪些？他们有那些漏洞 ?

iis 解析漏洞 put漏洞

apacher 解析漏洞 目录遍历

nginx 解析漏洞 目录遍历，文件解析

tomcat 远程代码执行，war后门文件部署

jboss 反序列化，war后门文件部署

二十、常见的目录扫描工具有哪些？

dirb，dirsearch，御剑

二十一、 windows 常见的提权方法有哪些？

dill注入

第三方组件或者服务提权

数据库提权

注册表提权

二十二、蚁剑 / 菜刀 /C 刀 / 冰蝎的相同与不相同之处

都是webshell的连接工具

冰蝎具有流量特征动态加密的特点

二十三、 windows 环境下有哪些下载文件的命令？

在windows中的powershell中有部分命令是和linux一样的如curl，invod等

二十四、常见的端口号？攻击点？

21 ftp

22 ssh

3306 数据库默认连接端口

1521 oracle

3389 远程桌面连接

用来做弱口令爆破

6379 redis未授权

443 ssl心脏滴血

二十五、木马驻留系统的方式有哪些？

利用系统的启动文件（驱动什么的）

两个木马的相互关联（两个木马相互检测，如果检测到一个被关闭，就打开）

利用文件捆绑滞留（网络公牛）

利用进程

二十六、常用的威胁情报平台有哪些？

微步在线

二十七、常用的 webshell 检测工具有哪些？

d盾

百度的webdir

河马

牧云

二十八、一般情况下。那些漏洞会被高频被用于打 点？

像是数据库，ssh，redis，3389这些会被频繁的爆破

还有一些网络边界的集权系统

一些oa系统也会被用来批量跑poc

二十九、 windows 常用的命令？

dir ，netstat，cd，md，rd，more

三十、应急响应的基本思路是什么？

要遵循3w1h原则

网络拓扑是什么

需求是什么

发生了什么事

用了什么产品

产品版本是什么

多少主机中了

易失性原则：越容易丢失的数据应该先收集

要素原则：要抓关键的证据

避害原则：自己工具被感染而没有感觉，给别人发样本不加密

收集信息-判断类型-深入分析-清理处置-产出报告

收集信息：收集客户信息和中毒主机信息，包括样本。

判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS等等。

深入分析：日志分析、进程分析、启动项分析、样本分析。

清理处置：直接杀掉进程，删除文件，打补丁，抑或是修复文件。

三十一、 Linux 常用的命令？

ps

netstat -anltp

top

awk

sed

find

ag

touch

mkdir

vi

三十二、蓝队常用的反制手段有哪些？

蜜罐反制

ip溯源

遗留工具溯源

服务器溯源应急响应的基本思路是什么可以对红队的ip进行批量扫描，找到如cs服务器等这种团队合作工具